Kaj je revizija ISO 27001 in ali jo potrebuje moje podjetje?

V našem svetu združenih podatkov morajo biti standardi kibernetske varnosti nebesni in ostri. Večina podjetij, četudi ne takoj povezana s tehniko, bo sčasoma naletela na potrebo po pasu.

Pred več kot desetletjem je Mednarodna organizacija za standarde sprejela specifikacijo, imenovano ISO 27001. Torej, kaj točno je to? Kaj nam lahko revizija ISO 27001 pove o notranjih mahinacijah organizacije? In kako se odločite, ali je treba vaše podjetje revidirati?

Kaj je sistem za upravljanje informacijske varnosti (ISMS)?

Sistem za upravljanje informacijske varnosti (ISMS) je glavna obrambna linija organizacije kršitve podatkov in druge vrste kibernetskih groženj od zunaj.

Učinkovit sistem ISMS zagotavlja, da so zaščitene informacije zaupne in varne, zveste viru in dostopne ljudem, ki imajo dovoljenje za delo z njimi.

Pogosta napaka je domneva, da ISMS ne predstavlja več kot požarni zid ali druga tehnična zaščitna sredstva. Namesto tega je popolnoma integriran ISMS prav tako prisoten v kulturi podjetja in pri vsakem zaposlenem, inženirju ali kako drugače. Sega daleč dlje od oddelka za IT.

Obseg tega sistema poleg zgolj uradne politike in postopka vključuje tudi sposobnost ekipe za upravljanje in izboljšanje sistema. Izvedba in način dejanske uporabe protokola sta najpomembnejša.

To vključuje dolgoročni pristop k obvladovanju in ublažitvi tveganj. Direktorji podjetja morajo biti dobro seznanjeni z vsemi tveganji, povezanimi s panogo, v kateri posebej delujejo. Oboroženi s tem uvidom bodo lahko temu primerno zgradili stene okoli sebe.

Kaj točno je ISO 27001?

Leta 2005 sta Mednarodna organizacija za standardizacijo (ISO) in Mednarodna elektrotehniška Komisija (IEC) je prenovila BS 7799, standard za upravljanje varnosti, ki ga je skupina BSI prvič vzpostavila 10 let prej.

Zdaj uradno znan kot ISO / IEC 27001: 2005, ISO 27001 je mednarodni standard skladnosti, ki ga podeljujejo podjetja, ki so zgledna na področju upravljanja informacijske varnosti.

V bistvu gre za strogo zbirko standardov, ki ji je mogoče preprečiti sistem vodenja informacijske varnosti podjetja. Ta okvir omogoča revizorjem, da nato ocenijo vzdržljivost sistema kot celote. Podjetja se lahko odločijo za revizijo, kadar želijo svojim strankam in strankam zagotoviti, da so njihovi podatki na varnem.

V to zbirko določb spadajo: specifikacije glede varnostne politike, sredstva klasifikacija, okoljska varnost, upravljanje omrežja, vzdrževanje sistema in neprekinjeno poslovanje načrtovanje.

ISO je strnil vse te vidike iz prvotne listine BSI in jih destiliral v različico, ki jo poznamo danes.

Kopanje v politiko

Kaj natančno se ocenjuje, ko podjetje opravi revizijo ISO 27001?

Cilj standarda je formalizirati učinkovito in varno informacijsko politiko na mednarodni ravni. Spodbuja proaktivno držo, ki se skuša izogniti težavam, preden se to zgodi.

ISO poudarja tri pomembne vidike varnega ISMS:

1. Nenehna analiza in priznavanje tveganja: to vključuje tako sedanja tveganja kot tveganja, ki se lahko pojavijo v prihodnosti.

2. Robusten in varen sistem: to vključuje sistem, kakršen v tehničnem smislu obstaja, kot tudi vse varnostne kontrole, ki jih organizacija uporablja za zaščito pred zgoraj omenjenimi tveganji. Ti bodo videti zelo različno, odvisno od podjetja in panoge.

3. Predana ekipa voditeljev: to bodo ljudje, ki dejansko postavljajo nadzor v obrambo organizacije. Sistem je tako učinkovit kot tisti, ki delajo na čelu.

Analiza teh treh ključnih dejavnikov, ki prispevajo, pomaga revizorju, da pripravi popolnejšo sliko sposobnosti določenega podjetja, da deluje varno. Trajnost je naklonjena ISMS, ki je odvisen le od surove tehnične sile.

Sorodno: Kako preprečiti, da bi zaposleni ob odhodu krali podatke podjetja

Prisoten mora biti pomemben človeški element. Način, kako ljudje znotraj podjetja izvajajo nadzor nad svojimi podatki in svojimi ISMS, je nadvse pomemben. Ti nadzorni elementi dejansko varujejo podatke.

Kaj je Priloga A k ISO 27001?

Konkretni primeri "nadzora" so odvisni od panoge. Priloga A k standardu ISO 27001 podjetjem ponuja 114 uradno priznanih načinov nadzora nad varnostjo njihovega poslovanja.

Te kontrole spadajo v eno od štirinajstih klasifikacij:

A.5—Informacijske in varnostne politike: institucionalizirane politike in postopki, ki jih podjetje upošteva.

A.6—Organizacija informacijske varnosti: dodelitev odgovornosti znotraj organizacije glede na okvir ISMS in njegovo izvajanje. Nenavadno je tukaj vključena tudi politika, ki ureja delo na daljavo in uporaba naprav znotraj podjetja.

A.7—Varnost človeških virov: skrbi za vkrcanje, izkrcanje in zamenjavo vlog znotraj organizacije. Tu so opisani tudi presejalni standardi in najboljše prakse v izobraževanju in usposabljanju.

A.8—Upravljanje premoženja: vključuje podatke, s katerimi se obdeluje. Premoženje je treba popisati, vzdrževati in hraniti zasebno, v nekaterih primerih celo čez oddelke. Lastništvo vsakega sredstva mora biti jasno določeno; ta klavzula priporoča podjetjem, da pripravijo "politiko sprejemljive uporabe", specifično za njihovo poslovno področje.

A.9—Nadzor dostopa: kdo sme obdelovati vaše podatke in kako boste omejili dostop samo pooblaščenim zaposlenim? To lahko vključuje nastavitev pogojnega dovoljenja v tehničnem smislu ali dostop do zaklenjenih zgradb v kampusu vašega podjetja.

A.10—Kriptografija: ukvarja se predvsem s šifriranjem in drugimi načini zaščite podatkov med prenosom. Te preventivne ukrepe je treba aktivno upravljati; ISO odvrača organizacije, da bi menile, da je šifriranje enolična rešitev za vse globoko niansirane izzive, povezane z varnostjo podatkov.

A.11—Fizična in okoljska varnost: ocenjuje fizično varnost, kjer koli se nahajajo občutljivi podatki, bodisi v dejanski poslovni stavbi bodisi v majhni, klimatizirani sobi, polni strežnikov.

A.12—Varnost poslovanja: kakšna so vaša notranja varnostna pravila, ko gre za poslovanje vašega podjetja? Dokumentacijo, ki pojasnjuje te postopke, je treba redno vzdrževati in revidirati, da bo ustrezala novim, nastajajočim poslovnim potrebam.

Pod to postavko spadajo upravljanje sprememb, upravljanje zmogljivosti in ločevanje različnih oddelkov.

A.13—Upravljanje omrežne varnosti: omrežja, ki povezujejo vsak sistem znotraj vašega podjetja, morajo biti nepredušna in skrbno skrbela.

Rešitve za vse ulove, kot so požarni zidovi, so še učinkovitejše, če jih dopolnjujejo stvari, kot so pogoste kontrolne točke za preverjanje, formalizirane politike prenosa ali prepoveduje uporabo javnih omrežij na primer med obdelavo podatkov vašega podjetja.

A.14—Pridobitev, razvoj in vzdrževanje sistema: če vaše podjetje še nima vzpostavljenega ISMS, ta klavzula pojasnjuje, kaj na mizo prinaša idealen sistem. Pomaga vam zagotoviti, da obseg ISMS zajema vse vidike vašega življenjskega cikla proizvodnje.

Notranja politika varnega razvoja daje vašim inženirjem kontekst, ki ga potrebujejo za izdelavo skladnega izdelka od dneva začetka njihovega dela.

A.15—Varnostna politika dobavitelja: kakšni previdnostni ukrepi se pri poslovanju s tretjimi dobavitelji izvajajo zunaj vašega podjetja, da se prepreči uhajanje ali kršitev podatkov, ki jih delite z njimi?

A.16—Upravljanje incidentov na področju informacijske varnosti: ko gre kaj narobe, vaše podjetje najverjetneje ponuja okvir za poročanje, reševanje in preprečevanje težave v prihodnosti.

ISO išče povračilne sisteme, ki omogočajo številnim avtoritetam v podjetju, da po odkritju grožnje delujejo hitro in z velikimi predsodki.

A.17—Vidiki informacijske varnosti upravljanja neprekinjenega poslovanja: v primeru nesreče ali kakšnega drugega malo verjetnega incidenta, ki nepreklicno moti vaše poslovanje, načrt moralo biti na mestu, da se ohrani blaginja podjetja in njegovih podatkov, dokler se poslovanje ne nadaljuje kot normalno.

Ideja je, da organizacija potrebuje način ohranjanja kontinuitete varnosti v takšnih časih.

A.18—Skladnost: končno smo prišli do dejanske pogodbe o pogodbah, na katere se mora podjetje naročiti, da izpolni zahteve za certificiranje ISO 27001. Vaše obveznosti so določene pred vami. Preostane vam le še podpis na črtkani črti.

ISO ne zahteva več, da podjetja, ki izpolnjujejo pogoje, uporabljajo samo nadzor, ki spada v zgoraj naštete kategorije. Seznam je odličen kraj za začetek, če pa šele začenjate postavljati temelje ISMS vašega podjetja.

Sorodno: Kako izboljšati pozornost z dobro varnostno prakso

Ali je treba revidirati moje podjetje?

To je odvisno. Če ste zelo majhen novoustanovljeni podjetje, ki dela na področju, ki ni občutljivo ali tvegano, boste verjetno lahko zdržali, dokler vaši načrti za prihodnost ne bodo bolj zanesljivi.

Pozneje, ko se vaša ekipa povečuje, se lahko znajdete v eni od naslednjih kategorij:

• Morda sodelujete s pomembno stranko, ki zahteva, da se vaše podjetje oceni, da bi zagotovili, da bo z vami na varnem.
• V prihodnosti boste morda želeli preiti na IPO.
• Že ste postali žrtev kršitve in morate premisliti o načinu upravljanja in zaščite podatkov svojega podjetja.

Napovedovanje za prihodnost morda ni vedno lahko. Tudi če se ne vidite v nobenem od zgornjih scenarijev, ne škodi biti proaktiven in začeti vključevati nekatere priporočene prakse ISO v svoj režim.

Moč je v vaših rokah

Priprava ISMS na revizijo je tako preprosta kot skrbnost, tudi če delate danes. Dokumentacijo je treba vedno hraniti in arhivirati, tako da imate dokaze, da boste morali podkrepiti svoje trditve o usposobljenosti.

Tako kot v srednji šoli: narediš domačo nalogo in dobiš oceno. Stranke so zdrave in zdrave, vaš šef pa je zelo zadovoljen z vami. To so preproste navade, ki se jih je treba naučiti in ohraniti. Kasneje se boste zahvalili, ko bo moški z odložiščem končno prišel klicati.

Najboljši 4 trendi kibernetske varnosti, na katere je treba biti pozoren v letu 2021 in pozneje

Tu so kibernetski napadi, na katere morate biti pozorni leta 2021, in kako se jim izogniti.

Preberite Naprej

O avtorju